Il 2025 ha segnato un punto di svolta nel panorama degli attacchi cyber in Italia e nel mondo. Non si tratta semplicemente di una crescita in termini assoluti (numerica) ma di un vero e proprio “salto quantico” nel livello di sofisticazione.
Secondo il Y-Report 2026 di Yarix – la nona edizione del rapporto annuale sugli eventi di sicurezza elaborato da Yarix, centro di competenza per la cybersecurity di Var Group – siamo di fronte a una trasformazione profonda delle modalità con cui le minacce informatiche si manifestano.
Lo studio, che analizza oltre 522mila eventi rilevati dal Security Operations Center dell’azienda nel corso del 2025, fotografa un anno di forte accelerazione di minacce e rischi cyber.
Gli attacchi sono diventati più rapidi, più mirati e capaci di adattarsi in tempo reale all’evoluzione dei sistemi di protezione, alimentati da un ecosistema criminale strutturato e dall’accesso sempre più diffuso a strumenti di intelligenza artificiale.
In questo quadro, il ransomware continua a essere uno degli strumenti principali di pressione economica, mentre la componente geopolitica incide in modo crescente anche sul panorama italiano, rendendo il rischio informatico strettamente legato agli equilibri globali.
Indice degli argomenti
Il panorama degli attacchi cyber in Italia nel 2025
Nel corso del 2025, il Security Operations Center di Yarix ha esaminato oltre 522mila eventi di sicurezza. Di questi, più di 158mila si sono evoluti in incidenti veri e propri, con un incremento medio mensile dell’8% rispetto all’anno precedente. Il dato più preoccupante riguarda, però, gli eventi più gravi. Quelli ad alto impatto sono cresciuti del 62% su base annua, a conferma che gli attaccanti non si limitano a colpire di più, ma colpiscono in modo sempre più “chirurgico”.
Uno scenario, questo, che impone alle organizzazioni italiane un cambio di approccio radicale perché la vera sfida è intercettare gli attacchi prima che producano danni, imparando a riconoscere anche i segnali più deboli nelle fasi iniziali della kill chain.
Manufacturing e IT: i settori più vulnerabili agli attacchi informatici
L’analisi settoriale del report rivela una concentrazione degli attacchi informatici verso due comparti in particolare. Il manufacturing guida la classifica con il 17,9% degli incidenti. In questo settore pesano sistemi produttivi obsoleti e infrastrutture distribuite su più nodi, che ampliano la superficie esposta agli attaccanti.
Al secondo posto si colloca l’IT, con l’8,3% degli attacchi. In questo caso a incidere sono soprattutto la quantità e la sensibilità dei dati trattati, unita all’elevato numero di servizi accessibili dall’esterno.
Lombardia, Emilia-Romagna e Lazio le regioni più colpite
A livello territoriale, la distribuzione degli attacchi cyber rispecchia la geografia produttiva e industriale del Paese. La Lombardia è la regione più colpita con il 36% degli incidenti, seguita da Emilia-Romagna (13%), Lazio (10%), Veneto (10%) e Piemonte (8%). Una mappa che coincide, non a caso, con le aree a maggiore densità di imprese manifatturiere e servizi ad alta intensità tecnologica.
Ransomware 2025: attacchi in aumento del 51%
Se c’è una minaccia che più di ogni altra ha dominato il 2025, questa è il ransomware. A livello globale, Yarix ha monitorato oltre 7.100 attacchi ransomware rivendicati pubblicamente, con un aumento del 51% rispetto al 2024.
La crescita non riguarda solo il volume degli attacchi, ma anche il numero di gruppi attivi. Nel corso dell’anno è stato registrato un aumento del 35% dei collettivi criminali, a testimonianza di un ecosistema sempre più frammentato e competitivo.
Sul piano geografico, gli Stati Uniti restano il Paese più colpito, con il 52% degli attacchi globali, seguiti da Canada (6%) e dai principali paesi dell’Europa occidentale. L’Italia, dopo anni nella Top 5, scende al sesto posto. Un segnale parzialmente positivo, ma che non deve indurre ad abbassare la guardia.
In una classifica che conta 124 gruppi ransomware attivi nel 2025, la concentrazione del potere offensivo rimane elevata. La Top 10 da sola è responsabile di circa il 56% degli attacchi complessivi.
Accanto a pochi attori dominanti, tuttavia, emergono decine di nuovi gruppi con impatto più limitato ma in rapida espansione, cosa questa che rende il malware da riscatto sempre più difficile da monitorare e anticipare.
PMI nel mirino
A livello nazionale, il ransomware colpisce in particolare le realtà più piccole. Le organizzazioni di dimensioni più contenute rappresentano il 67% delle vittime italiane, una quota superiore di 10 punti percentuali rispetto alla media globale. Le medie imprese seguono con il 18%.
Un dato che racconta una vulnerabilità strutturale: le PMI sono spesso prive di presidio di sicurezza dedicato, configurandosi di fatto come bersagli facili per gruppi criminali alla ricerca di riscatti rapidi e pagamenti certi.
Attacchi cyber e geopolitica: l’hacktivism prende di mira il Belpaese
Accanto alla criminalità informatica a scopo economico, il 2025 ha visto una forte crescita dell’hacktivism, ovvero l’uso di attacchi cyber come strumento di pressione politica e propaganda.
L’Italia è stata nel mirino di campagne dimostrative – principalmente DDoS (Distributed Denial of Service) e defacement dei siti web – orchestrate da collettivi filorussi e filo palestinesi in risposta a eventi geopolitici di rilevanza internazionale. Gli attacchi si sono sviluppati per ondate, con due picchi ben definiti nel corso dell’anno.
NATO, Ucraina e conflitto israeliano-palestinese: i driver degli attacchi estivi
Il primo picco, il più marcato, si è concentrato tra giugno e luglio, con oltre il 27% degli attacchi complessivi registrati in questo arco temporale. Il contesto è quello dell’avvicinamento al vertice NATO dell’Aja, durante il quale gli alleati si sono impegnati a investire in difesa fino al 5% del PIL entro il 2035, e della Conferenza sulla Ripresa dell’Ucraina (URC2025) ospitata a Roma il 10 e 11 luglio. Entrambi gli eventi sono stati utilizzati dai collettivi hacktivisti filorussi come pretesto narrativo per legittimare azioni dimostrative contro obiettivi italiani.
Il secondo picco, con circa il 23% delle campagne messe a segno, si è registrato tra settembre e ottobre, in corrispondenza dell’anniversario del 7 ottobre e delle dinamiche legate al conflitto tra Israele e Hamas. In questo periodo, collettivi pro-palestinesi e pro-arabi hanno esteso le proprie azioni verso Paesi percepiti come filo israeliani, tra cui l’Italia.
Università e istituzioni simboliche: i bersagli preferiti degli hacktivisti
Tra i bersagli degli attacchi cyber a sfondo politico figurano in modo ricorrente istituzioni ad alto valore simbolico. Nel periodo immediatamente precedente al 7 ottobre 2025, le Università La Sapienza di Roma e l’Alma Mater Studiorum di Bologna hanno subito attacchi DDoS, avvenuti in concomitanza con proteste studentesche pro-Palestina già in corso nelle stesse città. Un segnale chiaro di come la mobilitazione fisica e l’attivismo digitale si alimentino a vicenda.
Come evolvono la minacce: attacchi cyber sempre più veloci e adattivi
Uno degli elementi più significativi emersi dal report riguarda la trasformazione “qualitativa” degli attacchi informatici.
Il 2025 ha confermato un’evoluzione verso modelli di attacco distribuiti, automatizzati e adattivi, in cui i criminali sfruttano in modo sempre più efficace la combinazione di vulnerabilità note, credenziali compromesse e superfici esposte.
Il risultato è una riduzione del tempo tra l’accesso iniziale e l’impatto concreto sull’organizzazione colpita: meno tempo per rilevare, meno tempo per reagire.
Initial access e phishing: la prima fase dell’attacco è sempre più sofisticata
Tra i principali vettori di attacco cyber nel 2025 spiccano le tecniche di Initial Access, ovvero l’abuso di credenziali valide, l’esposizione di servizi accessibili da Internet e campagne di phishing sempre più difficili da distinguere da comunicazioni legittime.
La prima fase della kill chain è diventata il terreno più conteso, perché chi riesce a entrare in modo silenzioso ha poi tutto il tempo per muoversi lateralmente all’interno dei sistemi senza essere rilevato.
Intelligenza artificiale e automazione: i nuovi acceleratori degli attacchi informatici
L’accesso sempre più democratizzato a strumenti basati sull’intelligenza artificiale sta abbassando la soglia di ingresso per nuovi attori malevoli, rendendo possibile la creazione di campagne di phishing personalizzate, malware adattivi e tecniche di evasione avanzate anche senza competenze tecniche elevate.
Gli attacchi non sono più isolati, ma parte di catene articolate in cui più tecniche vengono combinate per aggirare i controlli di sicurezza tradizionali.
Difendersi dagli attacchi cyber: la sicurezza diventa fattore strategico
Di fronte a uno scenario che evolve così rapidamente, la risposta delle organizzazioni non può essere esclusivamente tecnica. Come sottolinea Mirko Gatto, Head of Cybersecurity di Var Group, «il cambiamento più significativo del 2025 riguarda il ruolo stesso della sicurezza informatica, che evolve da funzione di supporto a fattore strategico. Il vero vantaggio competitivo per le organizzazioni non sarà evitare gli attacchi, cosa sempre più difficile, ma essere in grado di governarli e ridurne l’impatto».
Nei prossimi anni diventerà sempre più evidente il passaggio da una cybersecurity semplicemente “dichiarata” – fatta di policy scritte e certificazioni – a una cybersecurity “dimostrabile”, capace di provare concretamente la propria efficacia in ogni momento.
Normative come la NIS2, insieme all’evoluzione del panorama delle minacce, spingeranno le organizzazioni verso modelli fondati su maggior governance e tracciabilità.
SOC e rilevamento precoce: perché individuare i segnali deboli fa la differenza
In questo quadro, il ruolo dei Security Operations Center diventa centrale. Rilevare tempestivamente anche i segnali più deboli – una credenziale usata fuori orario, un accesso anomalo a un servizio esposto – può fare la differenza tra un incidente contenuto e una compromissione sistemica.
Investire in capacità di monitoraggio continuo non è più un’opzione riservata alle grandi organizzazioni ma una necessità per chiunque voglia operare in sicurezza.
